This media is not supported in your browser
VIEW IN TELEGRAM
#Certutil Windows
در حملات بسیاری در سالهای اخیر , مانند APT34 از ماژول Certutil استفاده شده است, دلیل این موضوع این است که Certutil دو ویژگی بسیار جذاب برای هکرها دارد,
اول من کمی توضیح راجب ماهیت این ماژول بدم, و بعد دو ویژگی مذکور , Certutil یک ماژول در رابطه با نصب Certificate های Customize مورد نیاز در سیستم عامل های ویندوز میباشد که توسط خود ماکروسافت طراحی و بصورت پیشفرض بر روی سیستم عامل های ویندوز نصب دارد,
اما دو ویژگی این ماژول این است که, ما با استفاده از Certutil میتونیم مقادیر اینکدینگ BASE64 رو دیکد کنیم , خب استفاده از Certutil بجای یک دیکدر دست نوشته در Payload هکر میتونه مود بسیار خوبی باشه, مورد دوم اینه که ما میتونیم با استفاده از این ماژول فایل های TextPlain رو میتونه از روی DNS های External برای ما دانلود و ذخیره کنه...
هدف از این پست صرفاء تشریح CertUtil نبوده و بیشتر این بود که به بهانه این ماژول توجه شمارو به سرویس های پیشفرض سیستم عامل های ویندوز توجه ویژه کنند تا در عمر دور زدن مکانیزم های Detection راه حل های خلاقانه ای بوجود آورند.
#APT34
@Unk9vvN
در حملات بسیاری در سالهای اخیر , مانند APT34 از ماژول Certutil استفاده شده است, دلیل این موضوع این است که Certutil دو ویژگی بسیار جذاب برای هکرها دارد,
اول من کمی توضیح راجب ماهیت این ماژول بدم, و بعد دو ویژگی مذکور , Certutil یک ماژول در رابطه با نصب Certificate های Customize مورد نیاز در سیستم عامل های ویندوز میباشد که توسط خود ماکروسافت طراحی و بصورت پیشفرض بر روی سیستم عامل های ویندوز نصب دارد,
اما دو ویژگی این ماژول این است که, ما با استفاده از Certutil میتونیم مقادیر اینکدینگ BASE64 رو دیکد کنیم , خب استفاده از Certutil بجای یک دیکدر دست نوشته در Payload هکر میتونه مود بسیار خوبی باشه, مورد دوم اینه که ما میتونیم با استفاده از این ماژول فایل های TextPlain رو میتونه از روی DNS های External برای ما دانلود و ذخیره کنه...
هدف از این پست صرفاء تشریح CertUtil نبوده و بیشتر این بود که به بهانه این ماژول توجه شمارو به سرویس های پیشفرض سیستم عامل های ویندوز توجه ویژه کنند تا در عمر دور زدن مکانیزم های Detection راه حل های خلاقانه ای بوجود آورند.
#APT34
@Unk9vvN
#OilRig Leak ( #APT34 )
پارسال خبری منتشر شد مبنی بر اینکه پنل #CnC تیم تهاجمی منتصب به دستگاه های اطلاعاتی ایران هک شده,
یک تیم سایبری روسی که قبلا در پروژه نفوذ به سازمان #NSA نقش داشته با نام #ShadowBrokers این اتفاق را رقم زده است, جالب اینجاس که در همان اکانت Github که اکسپلویت های سازمان #NSA را منتشر کرده بود اینبار #CnC مربوط به تیم ایرانی را ساله گذشته منتشر کرد,
گفته میشه آسیب پذیری پنل #CnC مربوطه از نوع #SQL_Injection بوده و موجب به دامپ شدن قسمت های زیادی از این #CnC شده است, این حرکت تیم #ShadowBrokers مارو یاد سخن کهنی میندازه که میگه دست بالای دست بسیار است...
https://github.com/misterch0c/APT34
https://en.wikipedia.org/wiki/The_Shadow_Brokers
@Unk9vvN
پارسال خبری منتشر شد مبنی بر اینکه پنل #CnC تیم تهاجمی منتصب به دستگاه های اطلاعاتی ایران هک شده,
یک تیم سایبری روسی که قبلا در پروژه نفوذ به سازمان #NSA نقش داشته با نام #ShadowBrokers این اتفاق را رقم زده است, جالب اینجاس که در همان اکانت Github که اکسپلویت های سازمان #NSA را منتشر کرده بود اینبار #CnC مربوط به تیم ایرانی را ساله گذشته منتشر کرد,
گفته میشه آسیب پذیری پنل #CnC مربوطه از نوع #SQL_Injection بوده و موجب به دامپ شدن قسمت های زیادی از این #CnC شده است, این حرکت تیم #ShadowBrokers مارو یاد سخن کهنی میندازه که میگه دست بالای دست بسیار است...
https://github.com/misterch0c/APT34
https://en.wikipedia.org/wiki/The_Shadow_Brokers
@Unk9vvN
#Saitama #Malware #APT34
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن، که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل بوده اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام
اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است که ظاهرا ابداع خود تیم APT34 بوده و تاکتیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
@Unk9vvN
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن، که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل بوده اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام
update.exe رو Drop خواهد کرد.اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است که ظاهرا ابداع خود تیم APT34 بوده و تاکتیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
oxn009lc7n5887k96c4zfckes6uif.rootdomain.com
زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر70.119.104.111 - 97.109.105.49اعداد کد Octet است که به کاراکترهای ASCII ترجمه میشوند، برای مثال
w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.@Unk9vvN
#APT34 #Tesla #Agent #Phishing #Trojan
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.
@Unk9vvN
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد.شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود.اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.
@Unk9vvN
#APT34 #OilRig #Earth_Simnavaz
تیم منتصب به ایران یعنی APT34 اخیرا حمله ای رو در خاورمیانه انجام داده که نسبت به نسخه های قبل TTP پیشرفته تری داشته است.
زنجیره حمله به این صورت بوده که بواسطه یک آسیب پذیری عمومی یک Web Shell بر روی وبسرور MS Exchange قربانی بار گزاری کرده و ی تونل پروتکل RMM بر پایه Ngrok پیاده سازی میشه.
در مرحله بعدی مهاجمین بواسطه یک آسیب پذیری Race Condition با شناسه CVE-2024-30088 روی ساختمان
که البته Shellcode مورد استفاده در اصل یک ابزار منبع باز با نام RunPE-In-Memory بوده که میاد یک فایل فرمت PE رو در حافظه مستقیما Map میکنه بی آنکه Stage ازش در حافظه سخت باشه.
اما بعد از ارتقاء سطح دسترسی مهاجمین میان و Register Password filter DLL رو دستکاری میکنند و با
@Unk9vvN
تیم منتصب به ایران یعنی APT34 اخیرا حمله ای رو در خاورمیانه انجام داده که نسبت به نسخه های قبل TTP پیشرفته تری داشته است.
زنجیره حمله به این صورت بوده که بواسطه یک آسیب پذیری عمومی یک Web Shell بر روی وبسرور MS Exchange قربانی بار گزاری کرده و ی تونل پروتکل RMM بر پایه Ngrok پیاده سازی میشه.
در مرحله بعدی مهاجمین بواسطه یک آسیب پذیری Race Condition با شناسه CVE-2024-30088 روی ساختمان
_AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION اجرا میشه که مستقیما مقادیرش رو از سمت کاربر و بواسطه اشاره گر SecurityAttribute میگیره که این اشاره گر با RC امکان کپی Shellcode با RtlCopyUnicodeString رو خواهد داد.که البته Shellcode مورد استفاده در اصل یک ابزار منبع باز با نام RunPE-In-Memory بوده که میاد یک فایل فرمت PE رو در حافظه مستقیما Map میکنه بی آنکه Stage ازش در حافظه سخت باشه.
اما بعد از ارتقاء سطح دسترسی مهاجمین میان و Register Password filter DLL رو دستکاری میکنند و با
PasswordFilter اقدام به بازیابی اطلاعات کاربران Exchange میکنند.@Unk9vvN